欺骗技术(Deception)的发展为当下传统被动的防护现状提供了主动防御的更多可能,企业通过对主机、应用、数据等进行伪装,扰乱攻击者工具中的识别特征,达到欺骗攻击者,减缓攻击时间和进程的目的。长亭科技深知欺骗技术作为主动防守型战略在抵御攻击者时具备的优势,将基于欺骗技术的蜜罐产品与主机安全产品—牧云(CloudWalker)主机安全管理平台相结合,形成主动+被动结合的联动防护体系,以此对内网威胁进行包围式监测,有效弥补内网威胁难以感知、难以防护、难以追溯等问题。
牧云(CloudWalker)采用两种方式实现与欺骗技术的融合,第一种是牧云(CloudWalker)自身拥有的微蜜罐技术,通过其主机Agent探针对特定开放的蜜罐端口进行监听,进行异常探测动作和攻击行为的采集,并将完整的数据进行分析记录。为了更好的实现对攻击者的欺骗,牧云(CloudWalker)还打通了与高交互蜜罐的联动,将特定开放端口的流量重定向至高交互蜜罐,引诱攻击者进入高交互蜜罐组成的蜜网环境中,延缓攻击者攻击进程,实现内网横向流量的全面监测,和对攻击者的追踪溯源。
攻击流量重定向,主机安全+蜜罐联合感知内网威胁
牧云(CloudWalker)通过在真实业务服务器部署Agent探针并开启蜜罐诱捕策略,对用户指定端口进行监测,当网络端口产生异常连接时,牧云(CloudWalker)将自动生成蜜罐诱捕事件,诱导攻击者访问联动的高交互蜜罐,实现攻击预警和行为分析,即时将监测到的攻击行为数据生成攻击事件信息,全面支撑管理端的综合分析研判。牧云(CloudWalker)蜜罐诱捕能力将攻击流量重定向至高交互蜜罐系统,提升蜜罐检测的细粒度,实现全网主机资产蜜罐覆盖,通过伪装欺骗吸引攻击者注意力,捕获并分析攻击行为,有效监听东西向威胁,通过对捕获数据的多维分析综合展示,助力企业决策者全面掌握内网资产安全状态,和攻击者攻击目标与攻击手法,针对性完善内网安全建设。
蜜罐威胁情报共享,提升主机检测能力
牧云(CloudWalker)主机安全管理平台可为客户提供多维资产的持续性安全检测分析与响应,具备资产状态监测、脆弱性与基线安全评估、入侵行为实时感知、风险闭环管理等能力,通过微蜜罐和与高交互蜜罐的联动使自身获得欺骗伪装技术的加持,提供基于主机的主动诱捕能力。牧云(CloudWalker)Agent探针与高交互蜜罐的联动,不仅扩充了蜜罐系统的检测节点,增强蜜网环境的欺骗伪装能力,同时将蜜网系统捕获到的攻击行为形成内网攻击情报,通过攻击情报来进一步优化牧云(CloudWalker)主机安全管理平台的防护策略,提升真实服务器的主动防护能力。
主机蜜罐诱捕,溯源定位攻击者
牧云(CloudWalker)支持自定义设置蜜罐诱捕策略,用户可根据真实业务环境选择与高交互蜜罐系统的联动方式。欺骗技术的蜜罐诱使攻击者在蜜网环境中释放攻击载荷,感知攻击行为,完整记录攻击者的入侵,协助用户分析其攻击意图,保护核心资产。系统将会自动生成包含入侵攻击各个环节信息的完整行为日志,并支持日志下载、日志回放、PCAP流量下载和遗留文件下载等,通过记录和分析攻击者的行为特征和逆向遗留程序,还原其攻击链路,有些攻击者在用户业务系统或其他互联网应用中也会遗留身份信息,通过对主机和蜜罐中的数据综合分析,可准确定位攻击者真实身份,凭借完整的入侵时间线和记录文件,作为追究其法律责任的有效证据,对恶意入侵者实现震慑。
高仿真蜜罐更好联动主机安全
如果想使主机安全产品与蜜罐的联动效果达到最佳,蜜罐产品的欺骗伪装能力显得尤为重要,长亭谛听(D-Sensor)是一款基于欺骗伪装技术的安全防护产品,支持自定义多种服务型蜜罐,可根据实际业务需求布设各类高仿真、高交互系统服务、Web服务和数据库服务,实现应用、数据、设备层欺骗,并且支持高度自定义蜜罐数据,使得蜜罐蜜网环境和真实环境更加契合。因为谛听(D-Sensor)蜜罐的高度仿真性,使牧云(CloudWalker)在与其联动时能够更好的实现内网威胁感知溯源的能力,强化对欺骗技术应用的价值。
牧云(CloudWalker)具备更加灵活丰富的联动能力,除了与蜜罐联动全面感知内网威胁外,可凭借其全面开放的API传输包含用户属性信息、角色权限、日志类型、日志内容、漏洞数据、资产数据、状态数据等不同类型数据内容,实现与SOC、SIEM、大数据分析平台、态势感知平台等的综合联动,助力企业客户构建紧密互联的安全防护体系。
探寻牧云(CloudWalker)更多能力
发表评论
您还未登录,请先登录。
登录